OpenZeppelin es una plataforma de operaciones de seguridad con innumerables características de mejores prácticas de seguridad ya integradas. Específicamente, se describe a sí mismo como un marco de código abierto para crear contratos inteligentes seguros, destinado a simplificar el proceso de creación de contratos inteligentes. En términos prácticos, esto significa que los desarrolladores de contratos inteligentes en Ethereum pueden enviar sus productos más rápido, al tiempo que minimizan los riesgos de seguridad.
Normalmente, este tipo de funciones de seguridad deberían ser desarrolladas por separado por cada función o equipo de la empresa. Además, no existen herramientas de desarrollo que les permitan construir, probar y auditar contratos inteligentes de manera colaborativa. Con la ayuda de OpenZeppelin, los desarrolladores pueden concentrarse en implementar contratos inteligentes en lugar de lidiar con la molestia adicional de crear herramientas de seguridad dedicadas.
En pocas palabras, OpenZeppelin busca actuar como una auditoría de seguridad para los desarrolladores que crean contratos inteligentes, reduciendo efectivamente el riesgo asociado con los proyectos de finanzas descentralizadas (DeFi). Si desea obtener más información sobre DeFi, contratos inteligentes, criptomonedas o blockchain, Ivan en Tech Academy es su lugar de referencia. La Academia es perfecta para aprender sobre criptomonedas o comprender más de la industria DeFi.
¿Por qué OpenZeppelin?
Si conoce las finanzas descentralizadas (DeFi), es probable que ya conozca algunos de los trucos de alto perfil de este año o el conocido error de Yam Finance. Crear protocolos DeFi puede ser tan lucrativo que puede resultar tentador para los desarrolladores enviar un DeFi sin prestar suficiente atención a la seguridad. Sin embargo, ese tipo de pensamiento también puede poner en riesgo los fondos de los usuarios.
Según el director ejecutivo de OpenZeppelin, Demian Brener, OpenZeppelin Defender es la primera plataforma de seguridad en la que los desarrolladores pueden automatizar de forma segura sus contratos inteligentes en un solo lugar. El equipo decidió construir OpenZeppelin después de hablar con estos mismos desarrolladores. Así fue como aprendieron que estaban reinventando continuamente la rueda para construir su infraestructura de seguridad.
Ataques económicos vs arbitraje
Las líneas pueden volverse borrosas cuando se trata de discernir las diferencias entre un exploit y una buena oportunidad de arbitraje pasada de moda. Con ciertas vulnerabilidades, los atacantes inteligentes pueden crear oportunidades de arbitraje que no existen para el usuario habitual.
Los atacantes pueden usar cosas como préstamos flash para manipular las ofertas de precios. Esto sucedió con el hack de Harvest Finance y el hack de bZx. Los piratas informáticos manipularon los precios para obtener mejores condiciones en sus operaciones.
Entonces, ¿cuál fue la debilidad de Harvest Finance que los piratas informáticos explotaron? Bueno, el equipo hizo algunas cosas bien. Su código era de código abierto y las empresas de auditoría de seguridad revisaron su código. Sin embargo, confiaron en el creador de mercado automatizado de Curve para obtener un oráculo de precios. Y ese era su punto débil. Lo hicieron a pesar de que los atacantes habían explotado previamente una vulnerabilidad similar con bZx.
La buena noticia es que el código en el espacio DeFi se está bloqueando más. Se está fortaleciendo y volviéndose más eficiente. Además, cada vez que alguien ataca a DeFi, se vuelve más fuerte. Y OpenZeppelin quiere ayudar a asegurarse de que los protocolos DeFi continúen endureciéndose.
¿Es DeFi Trustless?
Oirá que la palabra “desconfiado” se difunde mucho en la comunidad de DeFi. Pero, ¿existe el 100% de desconfianza? ¿O es solo una ilusión? Porque, no importa lo que hagamos en DeFi, todos terminamos confiando en algo. Es solo una cuestión de grados.
Por ejemplo, incluso si confía en un contrato inteligente de Ethereum, aún debe confiar en que la máquina virtual de Ethereum (EVM) funcionará correctamente. También debes confiar en que los mineros validarán tu transacción correctamente. El CEO de OpenZeppelin, Demian Brener, habló sobre todo esto en una entrevista reciente en Bankless.
La parte buena es que, al menos con un contrato inteligente, puede auditar el código. Mientras que con un banco u otras organizaciones centralizadas, ¿quién sabe qué sucede detrás de escena?
Pero incluso si sabe que el código es seguro, puede haber alguien que no conozca que tenga el poder de cambiar las reglas del contrato inteligente. Entonces, ¿estás confiando en una sola persona? ¿Un Multisig? ¿O confía en una organización descentralizada (DAO) con miles de miembros en todo el mundo? Si es así, debe preguntarse, ¿cuál es la probabilidad de que estas personas puedan confabularse con malas intenciones?
Al crear un protocolo DeFi, se trata de confianza y verificación. ¿En qué puede confiar, verificar y en qué NO puede confiar? Además, ¿cómo va a construir sus sistemas en torno a todo esto?
Para construir algo correctamente, los equipos de desarrolladores deben comprender cuál es el modelo de amenaza. De esa manera, pueden determinar cómo monitorear sus sistemas para evitar que sucedan cosas malas.
El CEO pesa
Demian Brener prefiere el término “minimización de la confianza” a la falta de confianza. En la misma entrevista mencionada anteriormente, afirmó: “La minimización de la confianza reduce las piezas en las que confiamos y no podemos ver. Podemos ver el código ejecutado en cadena. Pero incluso con las plataformas DeFi minimizadas con mayor confianza, ¿en qué cosas todavía tenemos en las que confiar? La mejor manera de escalar DeFi es llegar a un lugar de minimización masiva de la confianza “.
Esa es una forma interesante de verlo, porque, sí, el contrato inteligente está en cadena para que todos lo vean. Pero, ¿qué pasa si la gente no sabe lo que está mirando? ¿Qué pasa si no entienden el código?
En la mayoría de los casos, los usuarios confían en el equipo del proyecto que está detrás del código. Confían en que el equipo comprenda el modelo de amenazas. Y confían (o al menos esperan) que el equipo tomó todos los pasos para minimizar el riesgo de un exploit.
Una multitud de preguntas de seguridad
Los escenarios desafortunados como la manipulación de precios siempre representan un riesgo. Entonces, las preguntas que deben hacerse son, ¿se ha auditado el sistema? ¿Y quién lo supervisa? ¿Qué pasa si un escenario crítico comienza a materializarse? ¿Hay disyuntores en su lugar para detener el exploit? ¿Puede el equipo al menos detener la hemorragia antes de que el atacante drene por completo las reservas de liquidez? Si un mal actor está participando en la manipulación de precios, ¿puede el equipo pausar esa característica en el contrato inteligente?
Las preguntas son numerosas pero, en esencia, se reducen a una sola cuestión: ¿Puede el equipo evitar que sucedan cosas malas o no? El equipo de OpenZeppelin cree que la confianza se puede minimizar. Y ese es su objetivo: minimizar continuamente la confianza.
¿Son más auditorías de seguridad la respuesta?
Las auditorías son caras. El protocolo YAM lanzó su proyecto rápidamente en un par de semanas. Es más, no tenían ganas de gastar decenas de miles de dólares en una auditoría. Eso, sin embargo, se convirtió en un problema. En un momento, el protocolo bloqueó $ 400 millones, pero todo explotó cuando encontraron un error en un contrato inteligente. Eso requirió que el equipo construyera una versión completamente nueva. ¡Ay!
Las auditorías de seguridad son excelentes, son necesarias pero costosas. El equipo de investigadores de OpenZeppelin se jacta de haber realizado más de 150 auditorías para algunos de los proyectos más destacados en DeFi, como Aave, Balancer, Compound, dYdX, Uniswap y otros. Pero Brener no cree que las auditorías sean una “aprobación” en sí mismas.
Más que una simple auditoría
OpenZeppelin dedica el tiempo y el esfuerzo necesarios a la investigación de seguridad para reducir las posibilidades de perder algo importante. Sin embargo, una pregunta más relevante es, ¿cómo escala la seguridad mientras se mantiene al día con las demandas de crecimiento en DeFi?
Los proyectos quieren “moverse rápido y romper cosas” como dice el mantra de Facebook. Sin embargo, los equipos deben reducir los riesgos mientras se mueven rápido porque están en juego muchos fondos de los usuarios.
La filosofía de OpenZeppelin no sostiene la creencia de que los proyectos pueden escalar la seguridad contratando más auditores. El equipo creó una biblioteca de código abierto llamada OpenZeppelin Contracts, para desarrollar contratos inteligentes. Ahora cuentan con más de dos millones de descargas.
Por lo tanto, OpenZeppelin no promete reemplazar una auditoría. Pero tampoco creen que escalar con más auditores sea la respuesta. Creen que se puede escalar al brindar a los desarrolladores la infraestructura adecuada para construir desde el principio.
Un conjunto de estándares de seguridad
El enfoque del equipo de OpenZeppelin Defender es brindar a los desarrolladores un conjunto de módulos que la comunidad ya ha examinado. Creen que los desarrolladores pueden moverse más rápido con las mejores prácticas de seguridad ya incorporadas.
Sí, diferentes contratos inteligentes tendrán diferentes casos de uso. Pero el punto es minimizar la cantidad de código nuevo neto que debe producirse cada vez que se crea un protocolo DeFi.
Todos quieren que Ethereum 2.0 funcione para producir más transacciones por segundo, pero la otra parte de la ecuación es la seguridad. Los protocolos DeFi deben ser seguros o nunca incorporaremos nuevos usuarios. La seguridad es imprescindible.
Si desea obtener más información sobre DeFi, Ethereum 2.0 u otras soluciones basadas en blockchain, ¡hay cursos disponibles para eso! Ivan on Tech Academy tiene más de 20,000 estudiantes y docenas de cursos llenos de contenido. ¡Utilice el código BLOG20 al inscribirse para obtener un 20% de descuento!
Las ventajas de las plataformas DeFi maduras
DeFi no tiene nada de antiguo. Pero los proyectos más maduros tienen más experiencia en su haber. Por tanto, no sufrirán tanto como los nuevos. Entonces, ¿cómo estos proyectos jóvenes despegarán con el pie derecho? Sin los recursos, el capital, la experiencia y la comunidad, podría ser difícil.
Es por eso que OpenZeppelin quiere que estos proyectos creen la infraestructura de seguridad adecuada desde el principio. Su plataforma está estandarizada para que los desarrolladores puedan entrar y construir sobre ella. Una base de seguridad sólida ahora puede “tomar minutos en lugar de meses”, como le gusta decir al equipo.
Bitcoin Maxis y otros críticos se quejan de que DeFi nunca funcionará porque es pirateado con demasiada frecuencia. La otra cara de esa moneda es que DeFi es pirateado porque es muy nuevo. Pero con cada ataque, los protocolos se fortalecen. Afortunadamente, el ecosistema DeFi está experimentando un proceso de endurecimiento y OpenZeppelin se dedica a lograrlo.
Los cuatro componentes de OpenZeppelin Defender
Además de la función de contratos de OpenZeppelin, también ofrecen Defender para que los desarrolladores puedan realizar envíos rápidos con las mejores prácticas integradas.
Porque, al igual que con todos los proyectos DeFi, los equipos también deben descubrir cómo administrar los contratos inteligentes después de que estén en producción. Tienen que averiguar quién puede ejecutar cambios, cuáles son los puntos débiles de seguridad y cómo se pueden actualizar. Por lo tanto, la función de administración incorporada de la plataforma Defender.
Administrador
El administrador es uno de los cuatro componentes de Defender. Permite a los equipos automatizar y asegurar su administración inteligente de contratos. Demasiados equipos están tratando de pastorear gatos con un proceso complicado. El componente de administración de Defender simplifica el proceso al ofrecer una interfaz perfecta donde los desarrolladores pueden cargar sus contratos inteligentes.
Relevo
Con retransmisores, OpenZeppelin Defender puede proporcionar una infraestructura segura para enviar transacciones. Esto elimina la necesidad de que los proyectos construyan su infraestructura de transacciones, que a menudo puede terminar siendo poco confiable. Esta función implementa retransmisores con soporte para Testnets, Mainnet, soluciones de Capa 2 y Sidechains.
Autotareas
OpenZeppelin Defender permite a los proyectos una forma de crear sus scripts para realizar acciones continuas en contratos inteligentes en un entorno sin servidor sin tener que crearlos ellos mismos. Herramientas de respuesta rápida como estas por sí solas podrían haber reducido las pérdidas en muchos de los exploits recientes.
Asesor
Esta función es una colección de mejores prácticas de seguridad que el equipo actualiza continuamente. Estos se pueden implementar en las fases de desarrollo, prueba, monitoreo y también operaciones.
DeFi y el camino por delante
DeFi está atrayendo a algunas de las personas más inteligentes del mundo. Y los desarrolladores talentosos están ansiosos por unirse. Estamos hablando de gente talentosa como Andre Cronje de Yearn.Finance.
Además, DeFi pronto podrá ofrecer 100 veces los tipos de servicios que la gente podría esperar encontrar en un banco. Cuanto más crezca DeFi, más fondos se verterán y las personas más creativas vendrán a construir cosas.
El equipo de OpenZeppelin Defender quiere ayudar a acelerar este proceso junto con la adopción de DeFi. Las soluciones de seguridad están ahí fuera, y Brener cree que es solo “una cuestión de ser inteligente, colaborar e implementarlas”.
Fortalecimiento del ecosistema DeFi
Muchos de los ataques que han afectado a DeFi provienen de vulnerabilidades conocidas. Por lo tanto, solo implementar el componente Advisor en OpenZeppelin Defender podría ayudar a nuevos proyectos.
Agregar la capacidad de monitorear la probabilidad de escenarios críticos también será un gran paso adelante. La implementación de Autotasks puede actuar como salvaguardas automáticas para evitar cosas malas. ¿Recuerdas el truco de Harvest Finance? Los desarrolladores podrían configurar una tarea para estar atentos a algo así.
Conclusión
A medida que los adoptantes más casuales se den cuenta del potencial que DeFi tiene para ofrecer, más dinero fluirá hacia el espacio. Sin embargo, los piratas informáticos y los virus son solo dos de los obstáculos que pueden obstaculizar la adopción masiva. Con toda la volatilidad y las crisis económicas en todo el mundo, los usuarios estarán dispuestos a cambiarse a DeFi solo si es más fuerte y sólido que las alternativas centralizadas.
Plataformas como OpenZeppelin Defender contribuirán en gran medida a fortalecer el ecosistema DeFi para que pueda prosperar y proporcionar una mejor alternativa a las finanzas globales tradicionales.
Si es un desarrollador, puede usar OpenZeppelin Defender de forma gratuita en la red de prueba, pero debe usar la versión de suscripción paga para la producción. Si desea convertirse en un desarrollador de blockchain, visite Ivan en Tech Academy y comience su viaje de DeFi hoy mismo.
Autor: Mindfrac